在PHP中,使用JSON Web Tokens(JWT)處理刷新令牌的過程如下:
firebase/php-jwt。你可以使用Composer進行安裝:composer require firebase/php-jwt
use Firebase\JWT\JWT;
use Firebase\JWT\Key;
// 假設你已經驗證了用戶的身份
$userId = 1;
$issuedAt = time();
$expirationTime = $issuedAt + 3600; // 訪問令牌有效期為1小時
// 生成密鑰
$key = "your-secret-key";
// 生成訪問令牌
$accessToken = JWT::encode([
"iss" => "your-issuer",
"iat" => $issuedAt,
"exp" => $expirationTime,
"userId" => $userId
], $key);
// 生成刷新令牌
$refreshExpirationTime = $issuedAt + 86400; // 刷新令牌有效期為1天
$refreshToken = JWT::encode([
"iss" => "your-issuer",
"iat" => $issuedAt,
"exp" => $refreshExpirationTime,
"userId" => $userId
], $key);
存儲刷新令牌:將生成的刷新令牌存儲在數據庫或會話中,以便在訪問令牌過期時使用。
驗證訪問令牌:當用戶發起請求時,需要驗證訪問令牌是否有效。如果訪問令牌無效或已過期,返回錯誤信息并提示用戶使用刷新令牌。
try {
$decoded = JWT::decode($accessToken, new Key($key, 'HS256'));
// 訪問令牌有效,繼續處理請求
} catch (Exception $e) {
// 訪問令牌無效或已過期,返回錯誤信息
echo "Invalid access token. Please use the refresh token.";
}
try {
$decoded = JWT::decode($refreshToken, new Key($key, 'HS256'));
$issuedAt = time();
$expirationTime = $issuedAt + 3600; // 新的訪問令牌有效期為1小時
// 生成新的訪問令牌
$newAccessToken = JWT::encode([
"iss" => "your-issuer",
"iat" => $issuedAt,
"exp" => $expirationTime,
"userId" => $decoded->userId
], $key);
// 返回新的訪問令牌給客戶端
echo $newAccessToken;
} catch (Exception $e) {
// 刷新令牌無效或已過期,返回錯誤信息
echo "Invalid refresh token. Please login again.";
}
// 假設你有一個黑名單數組
$refreshTokenBlacklist = [];
function isRefreshTokenRevoked($refreshToken) {
global $refreshTokenBlacklist;
return in_array($refreshToken, $refreshTokenBlacklist);
}
// 在驗證刷新令牌之前檢查是否已撤銷
if (isRefreshTokenRevoked($refreshToken)) {
echo "Invalid refresh token. Please login again.";
} else {
try {
$decoded = JWT::decode($refreshToken, new Key($key, 'HS256'));
// 刷新令牌有效,繼續處理請求
} catch (Exception $e) {
// 刷新令牌無效或已過期,返回錯誤信息
echo "Invalid refresh token. Please login again.";
}
}
通過以上步驟,你可以在PHP中使用JWT處理刷新令牌。請確保密鑰的安全存儲,并根據需要調整訪問令牌和刷新令牌的有效期。
